Outlook для iOS и Android
Outlook для iOS и Android поддерживает два типа проверки подлинности в локальных средах Exchange: обычную проверку подлинности и гибридную современную проверку подлинности.
Outlook для iOS и Android использует обычную проверку подлинности с Exchange ActiveSync в следующих средах:
В средах Exchange Server 2010 г.
Если гибридная связь с Microsoft 365 или Office 365 не настроена
Если гибридная современная проверка подлинности не включена
Дополнительные сведения см. в статье Использование обычной проверки подлинности в Outlook для iOS и Android.
Для клиентов, работающих Exchange Server 2013, Exchange Server 2016 или Exchange Server 2019 в гибридном отношении с Microsoft 365 или Office 365, Outlook для iOS и Android можно настроить на использование гибридной современной проверки подлинности. Дополнительные сведения см. в статье Использование гибридной современной проверки подлинности с Outlook для iOS и Android.
Примечание.
Справку по использованию приложения на отдельных устройствах и информацию об устранении неполадок можно найти в Центре справки по Outlook для iOS и Android.
Различия при управлении устройствами на локальных серверах Exchange с поддержкой гибридной современной проверки подлинности (HMA)
Исторически для других реализаций EAS каждый смартфон, пытающийся подключиться к одному и тому же почтовому ящику OnPrem, подготавливается уникальный идентификатор устройства, а abq (разрешить, блокировать, карантин) или любой MDM может управлять этими идентификаторами устройств, например для собственных приложений EAS.
Однако при подключении к локальному клиенту с поддержкой HMA с помощью Outlook Mobile существуют некоторые различия в проектировании, так как данные пользователя хранятся в центральном кэше внутри клиента Exchange Online. Чтобы понять философию проектирования и ее преимущества, см. раздел Использование гибридной современной проверки подлинности в Outlook для iOS и Android. Эта возможность также позволяет администраторам клиентов безопасно выполнять удаленную очистку данных в случаях, когда пользователь покидает компанию или скомпрометировано устройство. Ниже описаны некоторые различия.
Пользователи подключаются к кэшу, созданному в клиенте Exchange Online. Когда пользователь подключается к локальному клиенту с поддержкой гибридной современной проверки подлинности с помощью приложения Outlook Mobile, во внутреннем сервере Exchange создает синхронизированный кэш пользователей с данными в течение 4 недель в защищенном пользователем почтовом ящике. Это означает, что если несколько устройств подключаются, они будут обращаться к одной конечной точке внутри Exchange. На стороне локальной среды виден уникальный идентификатор устройства. Синхронизированный кэш также называется учетной записью облачного кэша.
Облачный кэш может создать несколько устройств. Локальный администратор может увидеть несколько устройств из-за начальной загрузки облачного кэша и из-за того, что срок действия устройств с истекшим сроком действия не истек. Когда Exchange впервые проверит учетную запись облачного кэша, он будет использовать универсальный идентификатор устройства. После проверки учетной записи используется новый персонализированный идентификатор устройства с именем подписка.
Блокировка или выдача удаленной очистки. Если локальный администратор хочет удалить доступ к содержимому, он должен выполнить удаленную очистку в локальной среде. Облачный кэш будет выполнять удаленную очистку для всех подключенных устройств. Если локальный администратор хочет заблокировать доступ к содержимому, он должен сделать это через локальную среду. В этом случае облачный кэш не сможет синхронизировать новое содержимое. Дополнительные сведения об удаленной очистке см. в разделе Выполнение удаленной очистки на мобильном телефоне.
Рекомендации по использованию MDM
Для управления приложением Outlook Mobile рекомендуется использовать mdm, такие как Intune, связанные с функцией условного доступа. См. раздел Управление Outlook для iOS и Android в Exchange Online
управление Intune работает для учетных записей, подключенных с помощью гибридной современной проверки подлинности к локальным серверам. Действительно, это одно из его ценностных предложений. Все устройства, подключенные к одному облачному кэшу, имеют один и тот же идентификатор на локальном сервере, так как они используют одно и то же физическое хранилище в microsoft 365 среднего уровня. управление Intune не работает для учетных записей, подключающихся через обычную проверку подлинности к локальной среде, так как локальный администратор не имеет видимости соответствующих удостоверений Microsoft 365.
Один локальный пользователь может иметь одно удостоверение Microsoft 365. У него может быть больше 1. Это связано с тем, что удостоверение Microsoft 365 вычисляется из имени входа, предоставленного пользователем клиента. Это может быть tim@contoso.com. Это может быть contoso.com/tim. Каждый из них можно использовать для управления входом на локальный сервер, но в Microsoft 365 невозможно обнаружить, что эти два разных имени представляют одного локального пользователя. Таким образом, каждый из них будет иметь разные удостоверения Microsoft 365, другой облачный кэш Microsoft 365 и предоставить другой идентификатор устройства для локального сервера EAS.